Hlavní stránka Hardware Sítě a Internet Základy WiFi: jak zabezpečit bezdrátovou síť?
Základy WiFi: jak zabezpečit bezdrátovou síť?
autor: David Je , publikováno 12.10.2006
Základy WiFi: jak zabezpečit bezdrátovou síť?

Bezdrátové sítě jsou čím dál více rozšířené - dnes už dokonce ani v obyčejných domácnostech nejsou WiFi sítě žádným překvapením. Bezdrátovou síť je ovšem nutné velmi dobře zabezpečit a zabránit přístupu nežádoucích "návštěvníků" - v opačném případě se můžete dočkat řady nemilých věcí (z nichž je zneužití vašeho internetového připojení tou nejmenší věcí).


(teorie – cílem není popsat vše do podrobných odborných detailů, ale jen přiblížit základní principy fungování)

Základy WiFi: jak zabezpečit bezdrátovou síť?

Existuje několik způsobů jak zabránit „cizákům“ připojit se do vaší sítě - každý je jinak účinný a pokud to je možné, můžete kombinací několika bezpečnostních prvků docílit vysokého zabezpečení.

Stěžejní způsob zabezpečení bezdrátových sítí je šifrování – tedy šifrování paketů proudících mezi bezdrátovými zařízeními.

Druhy šifrování

WEP (Wired Equivalent Privacy) – šifrovací protokol, který byl uveden v roce 1999. Je založen na šifrovacím algoritmu RC4 s tajným klíčem o velikosti 40 nebo 104 bitů kombinovaným s 24 bitovým inicializačním vektorem (IV), pro ověření správnosti používá metodu CRC-32 kontrolního součtu.

Takzvaný 64 bitový WEP je kombinace 40 bitového klíče a 24 bitového IV, 128 bitový WEP je 104 bitový klíč a 24 bitový IV, někteří výrobci bezdrátových zařízení podporují i 256 bitový WEP.

WEP je díky zranitelnosti šifrovacího algoritmu RC4, délce klíče a kolizím IV lehce překonatelnou* ochranou a jeho použití se nedoporučuje ani pro domácnosti.

*získat WEP klíč za použití speciálního software *airodump, aireplay, aircrack* je otázkou několika málo minut

WEP2 – k vytvoření druhé verze WEPu vedla snaha odstranit chyby verze původní – rozšíření IV a zesílení 128 bitového šifrování, ale i tak původní mezery tohoto zabezpečení zůstaly a útočníkovi jen zabere o něco více času ho prolomit. WEP2 byl použit zpravidla na zařízeních, která hardwarově nestačila na novější šifrování WPA.

WPA (Wi-Fi Protected Access) – (rok 2002) náhrada za původní slabé zabezpečení WEP. Stejně jako WEP je použit šifrovací algoritmus RC4, ale s 128 bitovým klíčem a 48 bitovým inicializačním vektorem (IV). Zásadní vylepšení však spočívá v dynamicky se měnícím klíči – TKIP (Temporal Key Integrity Protocol). Je vylepšena také kontrola integrity (správnosti) dat - díky použití metody označující se jako MIC (Message-Integrity Check).

WPA nabízí více možností, jak síť zabezpečit a to buď pomocí autentizačního serveru (RADIUS), který zasílá každému uživateli jiný klíč (podnikové řešení) nebo pomocí PSK (Pre-Shared Key), kdy každý uživatel má stejný přístupový klíč (malé podnikové sítě nebo domácnosti).

Zvětšení velikosti klíče a IV, snížení počtu zaslaných paketů s podobnými klíči a ověřování integrity dělá zabezpečení WPA těžko prolomitelné.

WPA2 – (rok 2004) označující se také jako IEEE 802.11i. Je použit protokol CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol) se silným šifrováním AES (Advanced Encryption Standard), MAC (Message Authentication Code) dynamicky mění 128 bitový klíč, MIC pro kontrolu integrity a ochranu proti útokům snažící se zopakovat předchozí odposlouchanou komunikaci (replay).

Existují další metody zabezpečení – EAP typy ověřování pod WPA/WPA2 Enterprise, určené pro silné zabezpečení podnikových bezdrátových sítí.

Sečteno, podtrženo

V našem případě, tedy pro domácí a malé podnikové sítě bez RADIUS* serveru, dokonale poslouží zabezpečení WPA2-PSK se silným šifrováním AES, pokud máte starší bezdrátová zařízení, lze se spokojit i s WPA-PSK.

*RADIUS server - autorizační a přístupový protokol, ověřuje vzdálené uživatele

Důležité „maličkosti“

Při zabezpečování bezdrátových sítí vedle použitého šifrování hrají nemalou roli také další prvky, na které není dobré zapomínat.

Už při plánování bezdrátové sítě je dobré se zamyslet, kde všude budeme potřebovat signál a použít takový typ antény, která, pokud je to možné, pokryje signálem jen námi požadovaný prostor. Téměř vždy je tento požadavek nesplnitelný a zároveň s požadovaným prostorem pokryjeme signálem i prostor nežádoucí. Snažme se tento prostor aspoň minimalizovat, jak to jen jde – použitím sektorové nebo směrové antény.

- nevysílat SSID, což je identifikátor sítě (jméno), snad ve všech bezdrátových přístupových bodech ho lze v nastavení „vypnout“, čili kdo nezná jméno vaší sítě, nemůže se do ní připojit a bez použití speciálního software je pro něj „neviditelná“.

- filtrování MAC adresy - vhodné použít tam, kde se připojují stále stejní klienti. V konfiguraci přístupového bodu zadáte MAC adresy síťových karet, pro které chcete přístup sítě povolit. Lze také zadaným MAC adresám přístup zakázat.

- vypnout DHCP server a nastavit IP adresy ručně. Doporučuji, jen když z nějakého důvodu nechcete mít síť zašifrovanou, ne každý umí zjistit rozsah IP adres v síti pro korektní připojení. Vypnuté DHCP považuji za doplněk, ne za prvek zabezpečení.

- přihlašovací jméno a heslo - pro přístup do konfigurace bezdrátového zařízení doporučuji ihned po přihlášení změnit. Pokud se útočník již nějakým způsobem dostane do vaší sítě, není pro něj problém přihlásit se do konfigurace bezdrátového zařízení a získat nad vaší sítí plnou kontrolu. Útočník znalý problematiky totiž pozná dle přihlašovacího layoutu typ zařízení a zná i výrobcem dané přihlašovací údaje.



 
Komentáře naleznete na konci poslední kapitoly.
323 čtenářů navrhlo autorovi prémii: 148.7Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.